題記：高持續(xù)性威脅（APT）是以商業(yè)和政治為目的的一個(gè)網(wǎng)絡(luò)犯罪類別。APT需要長(zhǎng)期經(jīng)營(yíng)與策劃，并具備高度的隱蔽性，才可能取得成功。這種攻擊方式往往不會(huì) 追求短期的經(jīng)濟(jì)收益和單純的系統(tǒng)破壞，而是專注于步步為營(yíng)的系統(tǒng)入侵，每一步都要達(dá)到一個(gè)目標(biāo)，而不會(huì)做其他多余的事來(lái)打草驚蛇。

2010年，Google對(duì)大眾承認(rèn)，公司服務(wù)器遭到嚴(yán)重攻擊。經(jīng)過(guò)調(diào)查發(fā)現(xiàn)，駭客在收集Google員工的個(gè)人信息之后，將精心構(gòu)筑的惡意代碼通過(guò)IE瀏覽器傳輸?shù)绞芎θ说碾娔X上執(zhí)行。沒(méi)有讓任何防毒軟件察覺(jué)。

在監(jiān)聽(tīng)到Google雇員平時(shí)的服務(wù)器訪問(wèn)密碼之后，登錄服務(wù)器，不斷獲得各種敏感信息。神不知，鬼不覺(jué)。

無(wú)獨(dú)有偶，緊接著在2011年，知名安全公司RSA的SecurID被駭客竊取，所用方式也如出一轍。

這兩個(gè)被踢爆的APT攻擊事件，真實(shí)的反映了APT高持續(xù)性威脅在業(yè)界暗流涌動(dòng)的狀況。更多尚未暴露的APT攻擊，仍然在地下隱秘的活動(dòng)著。而傳統(tǒng)的防毒軟件、IPS、防火墻，對(duì)這類危險(xiǎn)的防御表現(xiàn)欠佳。

在最近網(wǎng)絡(luò)上流行的一篇文章——《中國(guó)黑客傳說(shuō)：游走在黑暗中的精靈》中也反映了類似的情況，很多公司的內(nèi)網(wǎng)、很多大型數(shù)據(jù)中心、很多城市的水電煤等基礎(chǔ)設(shè)施……都可能被黑暗中的入侵者悄悄掌控著，他們將APT玩的爐火純青，享受著無(wú)與倫比的快感。

APT攻擊大多有著3個(gè)明顯特點(diǎn)。

1、  前期的目標(biāo)信息收集

2、  可繞過(guò)常規(guī)防護(hù)的EXP攻擊

3、  有意的避免大規(guī)模擴(kuò)散，鎖定固定目標(biāo)。

不管是為了經(jīng)濟(jì)目的、政治目的，還是成就感，這些攻擊行為都是大型企業(yè)和機(jī)構(gòu)所不能容忍的。

目前常規(guī)的防御手段也比較典型。

1、  UTM統(tǒng)一威脅管理

2、  IPS /IDS入侵防護(hù)/檢測(cè)系統(tǒng)

3、  企業(yè)版反病毒毒軟件

4、  安全日志管理系統(tǒng)

5、  VPN/SSL/SSH加密通信

6、  漏洞掃描器

7、  流量清洗及過(guò)濾產(chǎn)品

以上安全產(chǎn)品各有優(yōu)勢(shì)，但彼此協(xié)作并不多，容易各自為戰(zhàn)，缺少智能的分析和判斷能力。于是，像McAfee、RSA之類的一些安全服務(wù)提供商開(kāi)始在這些安全產(chǎn)品之上研究出“重型武器”——SIEM和SOC類安全信息管控產(chǎn)品。這類產(chǎn)品具有智能分析和判斷功能，可以有效增強(qiáng)客戶對(duì)APT攻擊的發(fā)現(xiàn)和鎖定能力。之所以將這類安全產(chǎn)品成為“重型武器”，是因?yàn)檫@類安全產(chǎn)品是相輔相成的立體式防御架構(gòu)，必須有很多安全工具與其配套，經(jīng)過(guò)細(xì)致的規(guī)劃和部署才能達(dá)到最佳效果。

目前在中國(guó)國(guó)內(nèi)，SIEM的普及率并不高，而對(duì)應(yīng)的知名品牌也比較少。據(jù)悉，國(guó)際安全公司McAfee將在2013年第二季度在華發(fā)布一款適用于中國(guó)客戶的SIEM安全信息管理系統(tǒng)，可以與 McAfee的ePO、DLP、IPS等產(chǎn)品聯(lián)動(dòng)，以應(yīng)對(duì)日益猖獗的APT攻擊。在Gartner在2012年5月的報(bào)告中顯示，他們的SIEM在國(guó)際排名中位居三甲之列，美國(guó)國(guó)防部也是其客戶之一。